Một đoạn mã Python chỉ 732 byte có thể cấp quyền root trên hầu hết các bản phân phối Linux lớn được phát hành từ năm 2017, khiến hàng triệu máy chủ và khối lượng công việc đám mây gặp nguy hiểm trước một lỗ hổng leo thang đặc quyền cực kỳ dễ khai thác.
Một lỗ hổng nghiêm trọng trong nhân Linux, được đặt tên là “Copy Fail”, cho phép bất kỳ người dùng cục bộ nào giành được quyền root đầy đủ chỉ với một đoạn mã Python 732 byte, ảnh hưởng đến hầu hết các bản phân phối lớn bao gồm Red Hat, Ubuntu và SUSE được phát hành từ năm 2017. Lỗ hổng này, được theo dõi mã CVE-2026-31431 với điểm CVSS là 7.8, tác động đến một phần lớn cơ sở hạ tầng đám mây, bao gồm hàng triệu cụm Kubernetes và môi trường lưu trữ chia sẻ.
"Đây là một lỗi logic cực kỳ dễ khai thác," công ty an ninh mạng Xint Code cho biết trong một bài đăng trên X, lưu ý rằng cùng một đoạn mã Python nhỏ gọn này hoạt động trên tất cả các nền tảng đã thử nghiệm mà không cần sửa đổi. Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã thêm lỗ hổng này vào danh mục Các lỗ hổng đã biết bị khai thác vào ngày 1 tháng 5, cảnh báo rằng nó gây ra "những rủi ro đáng kể cho doanh nghiệp liên bang."
Lỗ hổng bắt nguồn từ một lỗi logic được đưa vào trong một bản tối ưu hóa nhân năm 2017. Bằng cách chuỗi các lệnh gọi hệ thống tiêu chuẩn, kẻ tấn công có thể thực hiện ghi 4 byte có kiểm soát vào bộ đệm trang (page cache) của nhân — một vùng RAM nơi hệ thống giữ các bản sao tạm thời của các tệp để truy cập nhanh. Điều này cho phép phiên bản trong bộ nhớ của một chương trình có đặc quyền, chẳng hạn như /usr/bin/su, bị thay đổi mà không làm thay đổi tệp trên đĩa, khiến sự xâm nhập không thể bị phát hiện bởi hầu hết các công cụ giám sát tính toàn vẹn của tệp.
Khả năng khai thác ổn định và đơn giản khiến nó trở thành mối đe dọa nghiêm trọng đối với các môi trường đa người thuê (multi-tenant). Các nhà nghiên cứu của Microsoft Defender lưu ý tiềm năng của nó trong việc tạo điều kiện cho các cuộc thoát khỏi container (container breakout) và di chuyển ngang, vì kẻ tấn công có chỗ đứng trong một container có thể xâm nhập toàn bộ nút máy chủ. Cuộc tấn công yêu cầu một vectơ truy cập cục bộ ban đầu, nhưng một khi đã đạt được, việc leo thang lên root là chắc chắn.
### Lỗi nhân 9 năm tuổi cho phép thoát khỏi container như thế nào
Cốt lõi của CVE-2026-31431 nằm trong hệ thống con mật mã của nhân, cụ thể là mô-đun algif_aead. Một thay đổi năm 2017 được thiết kế để cải thiện hiệu suất bằng cách sử dụng lại bộ nhớ cho các hoạt động mật mã tại chỗ đã không tính đến một đường dẫn xử lý lỗi cụ thể. Các nhà nghiên cứu tại Theori, những người đã tiết lộ lỗi này một cách riêng tư cho nhóm nhân Linux vào ngày 23 tháng 3, nhận thấy rằng sơ suất này có thể bị lạm dụng để ghi bốn byte dữ liệu tùy ý vào bộ đệm trang của bất kỳ tệp nào có thể đọc được.
Vì các container trên một máy chủ duy nhất dùng chung một nhân, chúng cũng dùng chung một bộ đệm trang. Do đó, một tiến trình không có đặc quyền trong một container có thể sử dụng khai thác Copy Fail để sửa đổi biểu diễn trong bộ nhớ của một tệp thực thi nhạy cảm được máy chủ hoặc các container khác sử dụng. Khi tệp thực thi đó được chạy lần tiếp theo, nó sẽ chạy với các sửa đổi của kẻ tấn công, cấp quyền root và phá vỡ hiệu quả mọi ranh giới cách ly container. Điều này làm cho bất kỳ sự xâm nhập ban đầu nào vào container, chẳng hạn như thông qua một ứng dụng web dễ bị tổn thương, trở thành một cuộc xâm nhập toàn bộ hệ thống tiềm ẩn.
### Các biện pháp giảm thiểu có sẵn khi các bản vá được triển khai
Nhóm bảo mật nhân Linux đã cam kết một bản vá cho nhánh chính vào ngày 1 tháng 4 để hoàn tác tối ưu hóa bị lỗi năm 2017. Trong khi các nhân được vá đầy đủ đang được triển khai, nhiều bản phân phối sử dụng các nhân hỗ trợ dài hạn (LTS) cũ hơn và phải đưa bản sửa lỗi trở lại (backport), một quy trình tốn thời gian. Để ứng phó, các nhà phân phối lớn đã ban hành các biện pháp giảm thiểu ngay lập tức.
Đối với Ubuntu và các dẫn xuất của nó, một bản cập nhật cho gói kmod sẽ chặn mô-đun algif_aead dễ bị tổn thương bị tải lên. Quản trị viên có thể áp dụng bản sửa lỗi này bằng cách chạy sudo apt update && sudo apt upgrade và khởi động lại. Đối với các hệ thống không thể cập nhật ngay lập tức, mô-đun có thể được tắt thủ công bằng cách thêm dòng install algif_aead /bin/false vào một tệp trong /etc/modprobe.d/. Red Hat lưu ý rằng biện pháp giảm thiểu này có thể ảnh hưởng nhỏ đến hiệu suất đối với các tác vụ yêu cầu tính năng mật mã nhân, nhưng nó ngăn chặn hoàn toàn việc khai thác.
Bài viết này chỉ nhằm mục đích thông tin và không cấu thành lời khuyên đầu tư.
